WordPress 2.8.2がリリースされました

WordPress 2.8.2 日本語版リリースのお知らせ

WordPress 2.8.2 では XSS の脆弱性を修正しています。コメント投稿者の URL が完全にサニタイズされずに管理画面に表示されていました。これは悪用されると、管理画面から別のサイトへリダイレクトされる可能性があります。

パパログでも以前、クロスサイトスクリプティングって何だろうってのは少し触れてましたので、これは置いといて、今回は「サニタイズ???」って感じでしたので、調べてみました。

簡単に言うと、危険な文字列を含む「汚染された」入力から危険な文字を取り除き、無害化することだそうです。

ほー、っと思うのもつかの間、もう少し調べている間に「サニタイズ」という言葉に関する別の記事も見つけたので紹介。

続・「サニタイズ言うなキャンペーン」とは

よく分からなくなってきたので、ここら辺で流しときます^^;

とりあえず、先日アップグレードさせたばかりの各サイトのWordpressですが、またもアップグレードさせる羽目に。

こんな時の自動アップグレード機能。やっぱラクチンです^^

しかし、feelin'goodだけが、自動で出来ず、何度もインストール失敗してくれやがるので、結局手動にてアップグレード。。。

mb_convert_kana()のaオプションの脆弱性について

タイトルの件は置いといて。

先日のこの記事のコメントにて、某プラグイン作者様より、「XSS脆弱性(ぜいじゃくせい)」なんて言葉があったので、ちょっと分からない方の為に、簡単に説明してみたいと思います。

XSSとは、"Cross Site Scripting"の略で、それだったら略したらCSSじゃん!となるわけですが、スタイルシートのそれと混同してしまうため、XSSと略称されています。

悪意のある訪問者が、セキュリティ上の「穴」を攻撃(スクリプト混入されたりだとか)されて、個人の情報が漏れたりだとか、恐ろしい結果に繋がるわけです。

昔、携帯サイトの掲示板なんかで攻撃されているのを見かけた事がないでしょうか?例えば、真っ白になって表示されなくなっていたりとか。
あれもXSSの餌食となっていたわけです。
auには効くけど、ドコモには効かないとかいうのもあったなぁ。。。

最近では矢吹さんのLOCOBOARDなどの高機能な掲示板が登場してきて、タグ不可などの機能は当たり前になってきました。

で、PAPALOGが使っているMobile Eye+ですが、コメント表示部分にXSS脆弱性があると指摘がありました。
んなもん私はMobile Eye+を使い始めた瞬間から、それにあたる部分を修正しています。

問題のそれは、Mobile Eye+のプラグインに含まれるfunction.phpの31~32行目の全角英数字カナを半角にする関数で、オプションのaを使っている事が原因なようです。(デフォルトではaskVが設定されている)

全角を半角にすることでの省パケ機能として設定されているもので、管理画面の設定でも使用する・使用しないが選択できるのですが、このmb_convert_kana()のaオプションがちょっと厄介で、英数字だけでなく、ASCII記号までも半角にされてしまうわけで、要は→>までもが>に変換されるという事態に。。。

で、ワタシは何故即座にここを修正したか。

半角カナが苦手だからというオチですw

しかしながら、コメントいただいた某プラグイン作者様、ご指摘ありがとうございます(_"_)
フッターの十六夜.jpへのリンクの件は、確かに気になっていたので、ご指摘どおり修正いたしました。